yii | CN-SEC 中文网

安全文章

YII 2 反序列化挖掘与分析

环境部署选择 basic 包，定位到 config/web.php 中将 cookieValidationKey 的值改为 demo，然后访问/web/index.php。在文件 controller...

04月10日7 views评论

阅读全文

安全漏洞

Yii2反序列化漏洞(CVE-2025-2689|2690)

CVE-2025-2689漏洞描述:在уiiѕоft Yii2版本至2.0.45中发现了一个被分类为严重的漏洞,这个问题影响到了文件ѕуmfоnуfindеrItеrаtоrSоrtаblеItеrа...

03月26日43 views评论

阅读全文

代码审计

『代码审计』从零开始的 Yii2 框架学习之旅（3）

点击蓝字，关注我们日期：2023-03-30作者：Obsidian介绍：Yii2框架相关漏洞的新手学习记录。0x01 前言书接上回。在 yii2 version < =2.0.42 时，反序列化...

11月14日10 views评论

阅读全文

安全文章

记一次edu系统通杀漏洞审计(内附0day)

0x00 前言我二月份左右挖的洞，之前放出部分漏洞，现在还是挺多学校在用，不过一般都在内网，界面如下:0x01 前期打点发现学校用的就是这套系统，取得授权后遂对其进行研究，首先全端口扫描，发现其80 ...

07月30日66 views评论

阅读全文

安全文章

通达OA <12.4 反序列化漏洞分析

免费&进群0x00 前置知识和准备1.yii版本和源码准备查看通达oa 11.10使用的yii框架版本是2.0.13-dev，该版本在inc/vendor/yii2/yiisoft/yii2/...

05月13日46 views评论

阅读全文

代码审计

Yii反序列化链条学习与挖掘

前言在整理资料的时候，发现一套基于Yii框架二开的项目，去搜了一下相关信息，发现在phpggc项目里存在其中一条rce链,对应的编号应该是CVE-2022-41922。gadget地址：https:/...

04月09日63 views评论

阅读全文

代码审计

某OA 0day审计分析

前言本次审计的是一套Yii框架开发的OA系统，算是小0day吧，由于尚未公开，大部分都是厚码。本篇文章由星盟安全团队成员@Zjacky师傅投稿，博客地址为https://zjackky.githu...

03月15日29 views评论

阅读全文

安全文章

从某达OA到Yii2框架的cookie反序列化漏洞研究

序言近期网上流传的某达OA存在PHP反序列化漏洞，导致命令执行。因为该漏洞底层是Yii2框架的漏洞，所以搭建好了Yii2框架环境，在Yii2框架的环境下来进行模拟研究，希望能达到举一反三和类比分析学...

03月14日27 views评论

阅读全文

安全漏洞

漏洞复现天擎 YII_CSRF_TOKEN 反序列化远程代码执行漏洞

0x01 阅读须知融云安全的技术文章仅供参考，此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等（包括但不限于）进行检测或维护参考，未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操...

01月19日240 views评论

阅读全文

安全文章

【新】通达OA前台反序列化漏洞分析

0x01 前言注：本文仅以安全研究为目的，分享对该漏洞的挖掘过程，文中涉及的所有漏洞均已报送给国家单位，请勿用做非法用途。通达OA作为历史上出现漏洞较多的OA，在经过多轮的迭代之后已经很少前台的RCE...

08月05日97 views评论

阅读全文

安全文章

CVE-2020-15148 Yii框架反序列化漏洞复现

漏洞简介Yii Framework是一款高性能的PHP框架，用于开发Web2.0应用程序，具有快速、安全和高效等特点，是目前最流行的PHP开发框架之一。在Yii2 2.0.37及之前的版本中，存在反序...

02月21日1,004 views评论

阅读全文

CTF专场

yii && gii ctf篇

概述简单说下Yii 是一个高性能PHP的web 应用程序开发框架。通过一个简单的命令行工具 yiic 可以快速创建一个 web 应用程序的代码框架，开发者可以在生成的代码框架基础上添加业务逻辑，以快速...

01月19日44 views评论

阅读全文

YII 2 反序列化挖掘与分析

Yii2反序列化漏洞(CVE-2025-2689|2690)

『代码审计』从零开始的 Yii2 框架学习之旅（3）

记一次edu系统通杀漏洞审计(内附0day)

通达OA <12.4 反序列化漏洞分析

Yii反序列化链条学习与挖掘

某OA 0day审计分析

从某达OA到Yii2框架的cookie反序列化漏洞研究

漏洞复现天擎 YII_CSRF_TOKEN 反序列化远程代码执行漏洞

【新】通达OA前台反序列化漏洞分析

CVE-2020-15148 Yii框架反序列化漏洞复现

yii && gii ctf篇

在线咨询

微信